V Google Play byly další aplikace s malwarem. Hackeři skrz ně mohli napadnout celý telefon

V Google Play byly další aplikace s malwarem. Hackeři skrz ně mohli napadnout celý telefon

Výzkumný tým společnosti Check Point v uplynulých týdnech objevil v marketu Google Play devět aplikací obsahující nebezpečný malware. V aplikacích byl ukrytý škodlivý program Clast82 typu dropper (tzv. kapátko), který do telefonu dokáže bez vědomí uživatele nainstalovat („nakapat“) další malware a vyhnout se kontrolám ze strany Google Play. Hackeři pak s pomocí tajně instalovaného malwaru mohou na dálku prakticky kompletně ovládnout telefon oběti.

Celý útok je velmi sofistikovaný a obsahuje narušení hned v několika typech aplikací. Clast82 nainstaluje do mobilu malware v podobě služby AlienBot Banker, který cílí na finanční aplikace a dokáže obejít dokonce i zabezpečení pomocí dvoufaktorových autentizačních kódů. Clast82 současně obsahuje i mobilní trojan pro vzdálený přístup, takže hacker může ovládat zařízení pomocí aplikace TeamViewer, jako by telefon oběti držel přímo v ruce.

Zároveň s tím útočníci použili mechanismy na obejití kontrolních mechanismů Google Play, které mají běžně za úkol detekovat škodlivé aplikace. Pro komunikaci s řídicím C&C serverem je využívána platforma Firebase vlastněná Googlem. Když Google Play testuje a hodnotí aplikace, hacker změní konfiguraci C&C serveru pomocí Firebase. V kritickou chvíli „zakáže“ škodlivé chování Clast82, aby aplikace nevyvolala podezření. Jako hostitelská platforma pro stahování škodlivého obsahu je používán GitHub. Hacker tak může distribuovat další škodlivý obsah na všechna zařízení infikovaná jednotlivými škodlivými aplikacemi.

Hackeři „nakazili“ dropperem Clast82 tyto známé aplikace pro Android:

Název aplikace

Název balíčku

Cake VPN

com.lazycoder.cakevpns

Pacific VPN

com.protectvpn.freeapp

eVPN

com.abcd.evpnfree

BeatPlayer

com.crrl.beatplayers

QR/Barcode Scanner MAX

com.bezrukd.qrcodebarcode

eVPN

com.abcd.evpnfree

Music Player

com.revosleap.samplemusicplayers

tooltipnatorlibrary

com.mistergrizzlys.docscanpro

QRecorder

com.record.callvoicerecorder

Check Point odhalil zranitelnost v marketu Google Play a následně o nálezu informoval 28. ledna 2021 společnost Google. Už 9. února 2021 Google potvrdil, že všechny odhalené aplikace infikované dropperem Clast82 byly z Google Play odstraněny. „Hacker, který stojí za mobilní hrozbou Clast82, dokázal obelstít ochranu Google Play kreativním a zároveň znepokojivým způsobem. Jednoduše manipuloval snadno dostupnými zdroji třetích stran, jako jsou účty na GitHub nebo FireBase. Oběti si myslely, že stahují neškodnou utilitu z oficiálního obchodu pro Android, ale ve skutečnosti si stáhly také nebezpečný trojan, který cílil na finanční účty,“ objasnil princip fungování hackerského útoku Petr Kadrmas, bezpečnostní inženýr ze společnosti Check Point.

Jak probíhá útok přes Clast82:

  1. Na začátku si oběť stáhne z Google Play nějakou aplikaci obsahující i škodlivý kód Clast82.
  2. Clast82 následně komunikuje se svým velícím a řídicím serverem (C&C Server) a dostane další instrukce.
  3. Následně na zařízení stáhne a nainstaluje další hrozbu, v tomto případě AlienBot Banker, což je malware jako služba zaměřený na finanční aplikace a krádeže přihlašovacích údajů a ověřovacích kódů.
  4. Hacker tak získá přístup k finančním účtům obětí a zároveň má útočník plnou kontrolu nad infikovaným zařízením.
Diskuze (10) Další článek: Deepfake ve službách humoru. Aplikace Wombo rozezpívá každou selfie

Témata článku: Android, Google Play, Zabezpečení, Malware, Zranitelnost, Check Point, Bezpečnost, VPN, hacker, Hrozba, Aplikace, C, GitHub, Vědomí, Telefon, Banker, Petr Kadrmas, Cake, QRecorder, Telefony s Androidem na Heureka.cz



Další vlna podvodných SMS z čísla 2563. Neotevírejte odkaz a nezadávejte žádné platební údaje

Další vlna podvodných SMS z čísla 2563. Neotevírejte odkaz a nezadávejte žádné platební údaje

** Útočníkům první vlna nestačila, na důvěřivé Čechy útočí dál ** Nalákají vás na údajně nezaplacené clo ** Odkaz neotvírejte a podvodníkům rozhodně nic neplaťte!

Martin Chroust
PodvodOchranaSMS
Vybrali jsme 15 nejlepších tabletů, které se vyplatí koupit. O slovo se hlásí už i noví výrobci

Vybrali jsme 15 nejlepších tabletů, které se vyplatí koupit. O slovo se hlásí už i noví výrobci

** Jak se zorientovat v široké nabídce tabletů a proč tablet vůbec chtít? ** Vybíráme 15 nejlepších modelů ze všech cenových kategorií ** Cena použitelných tabletů začíná na dvou tisících korun

Martin Miksa
Tablety
Vyzkoušeli jsme levnou autodiagnostiku s Androidem. Servisy ohrnou nos, řidičům bude stačit

Vyzkoušeli jsme levnou autodiagnostiku s Androidem. Servisy ohrnou nos, řidičům bude stačit

** Smartphone s Androidem dnes využijete i pro autodiagnostiku ** Jednotku OBD-II dnes pořídíte za pár stovek ** Co se vše dokáže diagnostika s bezplatným SW v češtině?

Martin Chroust
DiagnostikaPro řidiče
Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Přehled zařízení, která dostanou Android 12. Aktualizace se týká topmodelů i levnějších telefonů

Přehled zařízení, která dostanou Android 12. Aktualizace se týká topmodelů i levnějších telefonů

** Pixely už jej mají, postupně se přidávají další mobilní výrobci ** Android 12 přináší spoustu softwarových novinek a vylepšení ** V našem seznamu se dozvíte, kdy aktualizace dorazí i na váš telefon

Martin ChroustJan Láska
Android 12Aktualizace softwaruSmartphony
eSIM dostanete do každého smartphonu. Vypadá jako běžná nanoSIM, má však svou paměť i systém

eSIM dostanete do každého smartphonu. Vypadá jako běžná nanoSIM, má však svou paměť i systém

** Víte, že eSIM dnes může mít úplně každý telefon s Androidem ** Budete jen potřebovat kartičku eSIM.me, která vypadá jako nanoSIM ** Podle její ceny se odvíjí kapacita úložiště eSIM profilů

Martin Chroust
SIMeSIMAndroid
Nahrávání hovorů na Androidu nadobro skončí. Nepomůže ani obcházení systémových omezení

Nahrávání hovorů na Androidu nadobro skončí. Nepomůže ani obcházení systémových omezení

** Google 11. května vypne nahrávání hovorů na Androidu ** Aplikace nebudou moci k nahrávání využívat API pro Usnadnění ** Uživatelé mají pouze dvě možnosti, jak nahrávání zachovat...

Martin Chroust
Nahrávání hovorůAndroid
Google na obchodu Play pustil do oběhu malware obřích rozměrů. Dostal se do více než 60 milionů smartphonů

Google na obchodu Play pustil do oběhu malware obřích rozměrů. Dostal se do více než 60 milionů smartphonů

** Doslova každý týden se na Google Play objeví nový malware ** Ten nejnovější si do mobilů stáhlo na 60 milionů uživatelů ** Vývojáři aplikací vydělávají na přeprodeji citlivých dat

Martin Chroust
Google PlayMalwareAndroid
Další velká věc pro chytré hodinky. Změří cukr v krvi, daleko víc modelů ohlídá teplotu

Další velká věc pro chytré hodinky. Změří cukr v krvi, daleko víc modelů ohlídá teplotu

** Chytré hodinky se prakticky každý rok naučí měřit něco nového ** Letos by se mělo jednat o neinvazivní měření krevního cukru ** Měření teploty kůže by se mělo dostat i na další chytré hodinky

Martin Chroust
Měření glykémieMěřeníChytré hodinky
Kapacitu baterie nového iPhonu SE odhalila až rozborka. Tak směšnou hodnotu už si dnes dovolí jen Apple

Kapacitu baterie nového iPhonu SE odhalila až rozborka. Tak směšnou hodnotu už si dnes dovolí jen Apple

** Apple při představení iPhonu SE (2022) opět zamlčel kapacitu baterie ** Opět musela pomoci až rozborka telefonu ** Baterie „es éčka“ vůbec poprvé překonala metu 2 000 mAh!

Martin Chroust
RozborkaiPhone